COME RENDERE GDPR COMPLIANT UNA SOCIETÀ OPERANTE NELL’UE

Nell’odierno panorama imprenditoriale, il tema attinente alla privacy e alla tutela dei dati personali è sempre più centrale per le aziende, soprattutto in ragione del rapido sviluppo delle nuove tecnologie.

L’importanza di gestire e proteggere i dati personali è stata ribadita dall’introduzione del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, comunemente noto come GDPR), in vigore dal 2018. Quest’ultimo stabilisce le modalità, nonché le misure di protezione che le aziende – sia in UE, che al di fuori dell’UE – sono tenute ad implementare ogniqualvolta trattano dati personali di cittadini dell’UE o comunque effettuano il trattamento dei dati nell’UE.

Questo articolo si propone di fornire una panoramica su come le imprese che vogliono operare in Europa devono trattare e gestire i dati personali in loro possesso.

Per far ciò, occorre prioritariamente capire cosa si intende per dato personale. Un dato personale è qualsiasi informazione concernente una persona fisica identificata o identificabile anche indirettamente. Pertanto, i dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile. Ai sensi del GDPR, la persona a cui si riferiscono i dati viene definita “interessato”; è importante sottolineare che interessato può essere solo una persona fisica e non un’azienda.

Il GDPR, poi, fornisce una distinzione tra dati personali c.d. normali e dati personali c.d. sensibili; questi ultimi sono una categoria speciale di dati personali che rivelano informazioni particolarmente delicate e, pertanto, richiedono una protezione aggiuntiva ed il loro trattamento è soggetto a regole più stringenti. Volendo fare un esempio, rientrano nel concetto di dati sensibili, tra gli altri, le informazioni quali l’origine etnica di una persona, le sue credenze religiose, i dati relativi alla salute o i suoi dati biometrici.

Appare, inoltre, opportuno menzionare che dati personali appartengono agli interessati cui tali dati si riferiscono; pertanto, questi ultimi godono di alcuni diritti specifici diritti in merito alla loro raccolta, utilizzo, conservazione e protezione.

Prima di andare a delineare quali sono i dati che normalmente un’azienda si trova a trattare, nonché gli adempimenti che quest’ultima deve porre in essere per assicurarsi di essere in compliance con le disposizioni del GDP, occorre preventivamente accennare alla distinzione tra titolare del trattamento e responsabile del trattamento.

Per titolare del trattamento si intende la persona fisica, l’azienda o l’organizzazione che decide perché e come vengono utilizzati i dati personali delle persone; per responsabile del trattamento si intende la persona fisica, l’azienda o l’organizzazione che tratta i dati personali per conto del titolare del trattamento. Ogni azienda che raccoglie e tratta dati personali è automaticamente un titolare del trattamento; non è, infatti, richiesta una nomina formale, poiché la responsabilità deriva dall’attività di trattamento stessa. Quando un’azienda titolare vuole esternalizzare il trattamento dei dati ad un’altra azienda, deve, invece, procedere alla nomina del c.d. responsabile del trattamento, il quale appunto gestirà e tratterà i dati per conto del titolare. Il responsabile, a differenza del titolare, va nominato formalmente tramite un contratto, il quale deve stabilire chiaramente le responsabilità del responsabile del trattamento.

Da ciò deriva che ogni azienda che si trova in possesso di dati personali appartenenti a persone fisiche è automaticamente un titolare del trattamento e dovrà trattare tali dati in conformità alle disposizioni previste all’interno del Regolamento in oggetto. L’azienda potrà poi decidere di nominare un responsabile del trattamento o meno.

Le aziende normalmente trattano diversi tipi di dati personali. Questi includono i dati dei dipendenti, come nome, indirizzo, numero di telefono e dati bancari per il pagamento degli stipendi; i dati dei fornitori, come informazioni di contatto e dettagli di pagamento; e i dati dei clienti, come nome, email, indirizzo di spedizione e storico degli acquisti.

È fondamentale che tutte queste persone siano informate su come i loro dati verranno utilizzati. Per fare ciò, le aziende devono fornire informative privacy chiare, semplici e facilmente comprensibili. Tali informative devono spiegare (i) quali dati vengono raccolti, (ii) perché tali dati vengono raccolti, (iii) come questi dati vengono utilizzati, (iv) se questi dati saranno condivisi con terze parti e (v) quali sono i diritti dei soggetti interessati (quali ad esempio, diritti di accesso ai propri dati, richieste di rettifica o cancellazione, diritti di opposizione al trattamento dei propri dati). Le informative devono essere fornite nel momento in cui i dati vengono raccolti e devono essere facilmente accessibili, per esempio tramite sito web, all’interno dei contratti o nelle mail di conferma di acquisizione dei dati.

Oltre a fornire informative agli interessati, per far sì che un’azienda risulti in compliance con le previsioni del GDPR, è fondamentale che quest’ultima ponga in essere le seguenti attività.

In primo luogo, è importante che l’azienda nomini un Responsabile della Protezione dei Dati, anche detto Data Protection Officer (DPO). Questo soggetto, che può essere sia un dipendente che un soggetto esterno all’azienda appositamente nominato per tale ruolo, ha il compito di monitorare la conformità al GDPR dell’azienda, oltre che a fungere da punto di contatto tra quest’ultima e l’autorità di protezione dei dati. La nomina di un DPO non è sempre necessaria, ma dipende dalle dimensioni dell’azienda e dal tipo di dati trattati; le aziende di piccole dimensioni normalmente non necessitano di tale figura. Tuttavia, il DPO risulta obbligatorio ogniqualvolta un’azienda si trovi a svolgere il monitoraggio regolare e sistematico, su larga scala, di individui o si trovi a trattare categorie di dati personali definite speciali dal GDPR.

In secondo luogo, è importante effettuare un’Analisi dell’Impatto sulla Protezione dei Dati (DPIA). Si tratta di una procedura che mira a descrivere il trattamento di dati da effettuare per valutarne la necessità, la proporzionalità e i relativi rischi, in modo tale da poter adottare tutte le misure necessarie per affrontarli. La DPIA è obbligatoria quando il trattamento da effettuare presenta un elevato rischio per la privacy delle persone fisiche. Normalmente le aziende di piccole dimensioni non necessitano di una DPIA.

Da ultimo, è fondamentale che le misure di sicurezza adottate siano proporzionate alla natura dei dati trattati, nonché ai potenziali rischi.

Un altro fattore da tenere in considerazione per le aziende è quello legato alla gestione delle richieste degli individui i cui dati vengono trattati. Queste ultime possono consistere, tra le altre cose, in richieste di accesso ai propri dati, richieste di rettifica di questi ultimi, di opposizione al trattamento e richieste di cancellazione dei dati. Le aziende devono assicurarsi di rispondere a tali richieste entro un congruo termine, che normalmente è fissato in 30 giorni.

Un altro elemento fondamentale riguarda l’implementazione di politiche e procedure interne in caso di violazione dei dati (data breach), quali ad esempio la repentina notifica alle autorità competenti, oltre che ai soggetti interessati. È, infatti, estremamente importante che le aziende implementino internamente misure di gestione del rischio e adottino linee guida per affrontare tali eventuali ed ipotetiche situazioni.

Da ultimo, ogni azienda dovrebbe assicurarsi che il proprio personale sia adeguatamente formato sul GDPR e sulle procedure aziendali in materia di protezione dei dati. Spesso, infatti, la formazione aiuta a prevenire errori.

Con una gestione attenta e continua, un’azienda non solo evita le sanzioni, ma dimostra anche un impegno concreto verso la tutela dei dati e la trasparenza.

Se desiderate rimanere aggiornati sugli sviluppi della normativa in oggetto, potete inviare una mail all’indirizzo info@dandreapartners.com.

D’Andrea & Partners Legal Counsel e PHC Advisory Tax & Accounting (società del Gruppo DP) offrono servizi di assistenza e consulenza in ambito legale e fiscale. Per qualsiasi richiesta di informazioni, siete invitati a contattarci al seguente indirizzo: info@dpgroup.biz.

I contenuti di cui sopra sono forniti solo a scopo informativo. La pubblicazione di questo articolo non crea un rapporto avvocato-cliente tra DP Group e il lettore e non costituisce consulenza legale. La consulenza legale, infatti, deve essere adattata alle circostanze specifiche di ciascun caso concreto.

Riccardo Verzella Riccardo Verzella

Riccardo Verzella

Senior Associate
Riccardo Verzella è un avvocato italiano abilitato che risiede a Shanghai

CONTATTACI PER UNA PRIMA CONSULENZA GRATUITA

*limitato ad un'unica consulenza di 30 minuti

Contact US - Italian

Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.